[박춘식 교수의 보안이야기] “미 정부가 기업에 명해 개인정보를 수집하고 있었다”라고 하는 CIA 전 직원 에드워드 스노든의 고발이 세계 IT 벤더/사용자 기업을 불안의 파도속으로 몰아넣었다.
 
“IT벤더에 부탁한 데이터의 비밀이 완전히 지켜지지는 않는다”는 것이 백일하에 드러났기 때문이다. 문제시 된 것은、’PRISM’이라 불리는 미국 정부의 정보 수집 프로그램이다.
 
스노든의 고발에 의하면, PRISM을 사용해 NSA나 FBI가 미국 구글이나 마이크로소프트, 미국 페이스북 등의 서버에 직접 액세스하여 전자 메일의 송수신처 등을 수집하고 있었다고 한다.
 
미국 정부는 PRISM에 관련한 일련의 보도에 오해가 있다고 해명하는 한편으로 FISA 법에 근거하여 비미국인을 주로 대상으로 한 정보 수집이 가능하다는 것을 다시 밝혔다.
 
실제, 미국 버라이존에 대해서는 213년 4월~7월의 3개월 간, 수 백만명의 고객의 통화 이력을 제출하도록 요구했다고 한다. 6월14일에는 미국 마이크로소프트나 페이스북도 미국 정부로부터 어떠한 형태로 데이터 제공 요청을 받았다는 것을 밝혔다.
 
2012년 말까지 반년 동안에 MS는 3만1000~3만2000건의 계정, 페이스북은 1만8000~1만9000건의 계정에 관한 개인정보의 제공을 요청받았다고 한다.
 
NSA나 FBI 등이 IT 벤더 각사에 제공을 요청한 개인정보는 AOL, 애플, 구글(G mail, You Tube 포함), 페이스북, 마이크로소프트(Hotmail, Skype 포함), 야후 등에게는 전자 메일, 채팅, 사진, 음성통화, 파일전송, 비디오회의, 로그인 등의 행동 이력, 소셜네트워킹 이력 등의 수집 데이터를 요청하였으며, 버라이존에게는 양방의 전화번호, 통화 시각, 단말 ID 등이었다.
 
“미국에서는 이전부터 정부에 의한 개인정보의 수집에 제동을 걸기 어려운 상황에 있다”라고、일본 정보통신종합연구소 법제도연구그룹의 한 연구원은 말하고 있다.
 
예를 들면 FISA법에는 범죄 용의 사실이 없어도 재판소가 영장을 발행할 수 있다. 2001년에 성립된 애국자법에는 정부는 재판소의 영장에 의하지 않은 채, 미국 내에 존재하는 기업에 데이터의 제출을 요구하는 것을 인정하고 있다.
 
5월31일에 미국 대사관이 개최한 세미나에서는 “클라우드 사업자가 일본에 설치한 서버에 대해서 미국 정부가 일방적으로 데이터를 압류하는 일은 없다”라는 취지의 설명이 있었지만 기업의 불안이 해소된 것은 아니다.
 
정부에 의한 데이터 관리의 리스크는 EU에도 있다. EU의 경우는 정부로부터 데이터의 제출을 요청당할 리스크보다도 개인정보의 데이터의 취급이 부적절하다고 판단되어 거액의 과징금을 추징당하는 리스크가 크다.
 
법제화의 검토가 진행되고 있는 데이터보호규칙안에는 최대로 년간 매상고의 2％의 과징금을 인정하고 있다.
 
이번 PRISM문제에 대해서 일본의 사용자 기업이 바로 대책을 취할 필요는 없다. 단지, 중장기적으로는 나라나 지역이 갖고 있는 지정학적 리스크를 고려해 아웃소싱하는 곳이나 데이터 센터의 설치 장소 등을 다시 살펴 볼 필요가 절박해질 것 같다. (출처. Nikkei/ 0702)
 
[글. 박춘식 서울여자대학교 정보보호학과 교수 csp@swu.ac.kr]